1> 捕獲原始數(shù)據(jù)包，包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送/接收的以及相互之間交換的數(shù)據(jù)winpcap結(jié)構(gòu)包； 　　2> 在數(shù)據(jù)包發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)包過(guò)濾掉； 　　3> 在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)包； 　　4> 收集網(wǎng)絡(luò)通信過(guò)程中的統(tǒng)計(jì)信息。 　　winpcap的主要功能在于獨(dú)立于主機(jī)協(xié)議（如TCP-IP)而發(fā)送和接收原始數(shù)據(jù)包。也就是說(shuō)，winpcap不能阻塞，過(guò)濾或控制其他應(yīng)用程序數(shù)據(jù)包的發(fā)收，它僅僅只是監(jiān)聽(tīng)共享網(wǎng)絡(luò)上傳送的數(shù)據(jù)包。因此，它不能用于QoS調(diào)度程序或個(gè)人防火墻。目前，winpcap開(kāi)發(fā)的主要對(duì)象是windows NT/2000/XP，這主要是因?yàn)樵谑褂脀inpcap的用戶中只有一小部分是僅使用windows 95/98/Me，并且M$也已經(jīng)放棄了對(duì)win9x的開(kāi)發(fā)。因此本文相關(guān)的程序T-ARP也是面向NT/2000/XP用戶的。其實(shí)winpcap中的面向9x系統(tǒng)的概念和NT系統(tǒng)的非常相似，只是在某些實(shí)現(xiàn)上有點(diǎn)差異，比如說(shuō)9x只支持ANSI編碼，而NT系統(tǒng)則提倡使用Unicode編碼。有個(gè)軟件叫sniffer pro.可以作網(wǎng)管軟件用，有很多功能，可監(jiān)視網(wǎng)絡(luò)運(yùn)行情況，每臺(tái)網(wǎng)內(nèi)機(jī)器的數(shù)據(jù)流量,實(shí)時(shí)反映每臺(tái)機(jī)器所訪問(wèn)IP以及它們之間的數(shù)據(jù)流通情況，可以抓包，可對(duì)過(guò)濾器進(jìn)行設(shè)置,以便只抓取想要的包，比如POP3包,smtp包，ftp包等，并可從中找到郵箱用戶名和密碼,還有ftp用戶名和密碼。它還可以在使用交換機(jī)的網(wǎng)絡(luò)上監(jiān)聽(tīng)，不過(guò)要在交換機(jī)上裝它的一個(gè)軟件。還有一個(gè)簡(jiǎn)單的監(jiān)聽(tīng)軟件叫Passwordsniffer，可截獲郵箱用戶名和密碼，還有ftp用戶名和密碼，它只能用在HUB網(wǎng)絡(luò)上。著名軟件tcpdump及ids snort都是基于libpcap編寫(xiě)的，此外Nmap掃描器也是基于libpcap來(lái)捕獲目標(biāo)主機(jī)返回的數(shù)據(jù)包的。 　　winpcap提供給用戶兩個(gè)不同級(jí)別的編程接口：一個(gè)基于libpcap的wpcap.dll，另一個(gè)是較底層的packet.dll。對(duì)于一般的要與unix平臺(tái)上libpcap兼容的開(kāi)發(fā)來(lái)說(shuō)，使用wpcap.dll是當(dāng)然的選擇。